Evropský sbor pro ochranu osobních údajů

Evropský sbor pro ochranu osobních údajů – dvanácté plenární zasedání

Thursday, 11 July, 2019
EDPB

Brusel 11. července – Ve dnech 9. a 10. července se úřady pro ochranu údajů v EHP a evropský inspektor ochrany údajů (EIOÚ) sešli v rámci Evropského sboru pro ochranu osobních údajů (EDPB) na svém dvanáctém plenárním zasedání. Na tomto zasedání se diskutovalo o široké škále témat.

Pokyny ke kamerovému dohledu
Sbor přijal pokyny týkající se kamerového dohledu, v nichž upřesňuje, jak se GDPR uplatňuje na zpracování osobních údajů při používání videozařízení. Touto cestou má být zajištěno jednotné uplatňování GDPR v této oblasti. Pokyny platí jak pro tradiční kamerová zařízení, tak pro inteligentní videozařízení. U inteligentních videozařízení se pokyny zaměřují na pravidla pro zpracování zvláštních kategorií údajů. Pokyny navíc upravují, mimo jiné, zákonnost zpracování, použitelnost výjimky pro domácí zpracování a zpřístupňování záznamů třetím stranám. Tyto pokyny budou předloženy k veřejné konzultaci.

Společná odpověď EDPB a EIOÚ Výboru LIBE k důsledkům zákona USA CLOUD Act
EDPB přijal společnou odpověď EDPB a EIOÚ na žádost Výboru Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci (LIBE) o právní posouzení dopadu amerického zákona CLOUD Act na právní rámec EU pro ochranu osobních údajů a mandát k vyjednávání dohody mezi EU a USA o přeshraničním přístupu k elektronickým důkazům pro justiční spolupráci v trestních věcech. Zákon CLOUD Act umožňuje americkým donucovacím orgánům požadovat, aby poskytovatelé služeb ve Spojených státech zpřístupnili údaje bez ohledu na to, kde jsou údaje uloženy.

EDPB a EIOÚ zdůrazňují, že komplexní dohoda mezi EU a USA o přeshraničním přístupu k elektronickým důkazům, která obsahuje silné procesní a hmotné záruky ohledně základních práv, je zřejmě nejvhodnějším nástrojem k zajištění nezbytné úrovně ochrany subjektů údajů v EU a právní jistoty pro podniky.

Stanovisko podle článku 64 GDPR ke standardním smluvním doložkám pro zpracovatele ve smyslu čl. 28 odst. 8 (návrh dánského dozorového úřadu)
EDPB přijal stanovisko k návrhu standardních smluvních doložek pro stanovení rámcových podmínek pro zpracování údajů zpracovatelem, který mu předložil dánský dozorový úřad. Stanovisko, které je k tomuto tématu prvním stanoviskem, má za cíl zajistit jednotné uplatňování článku 28 GDPR, jenž se týká zpracovatelů. Stanovisko EDPB obsahuje několik doporučení, která je třeba vzít v úvahu, aby mohly být standardní smluvní doložky navržené dánským dozorovým úřadem považovány za standardní smluvní doložky. Pokud budou všechna doporučení provedena, může dánský dozorový úřad použít tento návrh dohody jako standardní smluvní doložky podle čl. 28 odst. 8 GDPR.

Stanovisko podle článku 64 GDPR k akreditačním kritériím pro subjekty pro monitorování kodexu chování, která předložil rakouský dozorový úřad
EDPB přijal stanovisko k návrhu rozhodnutí předloženému rakouským dozorovým úřadem o akreditačních kritériích pro subjekty pro monitorování kodexu chování. Sbor souhlasí s tím, že všechny kodexy vztahující se na neveřejné orgány a subjekty musí mít v souladu s GDPR akreditované subjekty pro monitorování.

Stanovisko podle článku 64 GDPR k příslušnosti dozorového úřadu v případě změny okolností týkajících se hlavní nebo jediné provozovny
Sbor přijal stanovisko k příslušnosti dozorového úřadu v případě, že se změní okolnosti týkající se hlavní nebo jediné provozovny. Změněné okolnosti mohou nastat, pokud je hlavní provozovna přemístěna v rámci EHP nebo je hlavní provozovna přemístěna do EHP ze třetí země, nebo pokud v EHP již neexistuje hlavní nebo jediná provozovna. Za takových okolností se sbor domnívá, že příslušnost může být přenesena z vedoucího dozorového úřadu na jiný dozorový úřad. V takovém případě postup spolupráce stanovený v článku 60 GDPR platí i nadále, a nový vedoucí dozorový úřad je povinen spolupracovat s bývalým vedoucím dozorovým úřadem a s dalšími dotčenými dozorovými úřady, aby bylo dosaženo konsensu. K přenosu může docházet, dokud příslušný dozorový úřad nepřijme konečné rozhodnutí.

Společné stanovisko EDPB a EIOÚ k eHDSI
Sbor přijal společné stanovisko EDPB a EIOÚ k aspektům ochrany osobních údajů při zpracovávání údajů o pacientech v rámci infrastruktury digitálních služeb elektronického zdravotnictví (eHDSI). Přitom se jedná se o první společné stanovisko EDPB a EIOÚ přijaté v reakci na žádost Evropské komise podle čl. 42 odst. 2 nařízení 2018/1725 o ochraně osobních údajů orgány a institucemi EU. EDPB a EIOÚ ve svém stanovisku zastávají názor, že v této specifické situaci a s ohledem na konkrétní zpracování údajů o pacientech v rámci eHDSI není důvod odchylovat se od hodnocení Evropské komise týkající se její úlohy jako zpracovatele v rámci eHDSI. Kromě toho ve svém společném stanovisku upozorňují na to, že je třeba zajistit, aby veškeré povinnosti, které má Komise jako zpracovatel při této operaci zpracování, jak je stanoveno v příslušných právních předpisech o ochraně údajů, byly jasně stanoveny v příslušném prováděcím aktu.  

Seznam ohledně DPIA podaný Kyprem
EDPB přijal stanovisko k seznamu ohledně posouzení vlivu na ochranu osobních údajů (DPIA), který Kypr předložil sboru. Seznamy DPIA představují důležitý nástroj umožňující jednotné uplatňování GDPR v celém EHP. Posouzení vlivu na ochranu osobních údajů je proces, jenž pomáhá identifikovat a zmírňovat rizika související s ochranou osobních údajů, která by mohla mít dopad na práva a svobody fyzických osob.

Stanovisko podle článku 64 GDPR k seznamům podle čl. 35 odst. 5 (výjimky z DPIA) předloženým Francií, Španělskem a Českou republikou
EDPB přijal stanovisko k seznamům podle čl. 35 odst. 5, které sboru předložily dozorové úřady Francie, Španělska a České republiky.

Doporučení k seznamu EIOÚ podle čl. 39 odst. 4 nařízení (EU) 2018/1725 (seznam DPIA)
Sbor přijal doporučení týkající se seznamu podle čl. 39 odst. 4, který sboru předložil EIOÚ. Podle čl. 39 odst. 6 nařízení (EU) 2018/1725 musí EIOÚ před přijetím těchto seznamů konzultovat EDPB, pokud se tyto seznamy „týkají operací zpracování prováděných společně dvěma nebo více správci jinými než orgány a subjekty Unie“. Podobně jako v případě seznamů DPIA podle GDPR, informuje EIOÚ prostřednictvím seznamu zpracovatele o činnostech zpracování, které vyžadují posouzení dopadu na ochranu údajů.

Poznámka pro redaktory:
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání EDPB se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že tyto dokumenty budou zpřístupněny na internetových stránkách EDPB, jakmile budou uvedené kontroly dokončeny.